Thema: Windows-Lücke nach 17 Jahren gefunden

[SiLæncer]

Microsoft hat es dieser Tage nicht leicht. Nach der ungepatchten Lücke im Internet Explorer wurde nun noch eine Lücke in Windows bekannt, durch die Anwender mit eingeschränkten Rechten an System-Rechte gelangen können – und zwar vermutlich auf allen 32-Bit-Windows-Versionen von Windows NT 3.1 bis einschließlich Windows 7. Während die Schwachstelle bei Heimanwendern vermutlich nur eine kleine Rolle spielt, dürften Administratoren in Unternehmensnetzen diese Woche vermutlich ins Schwitzen kommen.

Ursache des Problems sind Fehler in der 1993 eingeführten Virtual DOS Machine (VDM) zur Unterstützung von 16-Bit-Anwendungen (Real-Mode-Anwendungen für 8086). VDM beruht auf dem Virtual 8086 Mode (VM86) der 80386-Prozessoren und fängt unter anderem Hardware-Zugriffe wie BIOS-Aufrufe ab. Der zum Google-Sicherheitsteam gehörende Tavis Ormandy hat in der Umsetzung einige Schwachstellen gefunden, durch die ein nicht-privilegiertes 16-Bit-Programm mit mehreren Tricks den zu jedem Prozess gehörenden Kernel-Stack manipulieren kann. Damit ist es möglich, eigenen Code mit Systemrechten auszuführen.

Ormandy hat zu der Lücke auch einen Exploit veröffentlicht, der unter Windows XP, Windows Server 2003 und 2008, Windows Vista und Windows 7 funktioniert. Im Test der heise-Security-Redaktion öffnete der Exploit unter Windows XP und Windows 7 eine Eingabeaufforderung im System-Kontext, also mit den höchsten Rechten. Ein Patch für die Lücke gibt es nicht, obwohl Microsoft nach Angaben von Ormandy bereits seit Mitte des vergangenen Jahres über die Lücke informiert ist. Ormandy hat sich dennoch entschlossen, die Informationen zu veröffentlichen, da seiner Meinung nach die Workarounds einfach zu realisieren sind: Man schaltet das MSDOS-Subsystem einfach ab.

Dazu muss man den Editor für die Gruppenrichtlinie starten und unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Anwendungskompatibilität die Option "Zugriff auf 16-Bit-Anwendungen verhindern" aktivieren. Im Test von heise Security funktionierte der Exploit mit diesen Einstellungen nicht mehr. Die Einstellung soll bei den meisten Anwendern keine Kompatibilitätsprobleme verursachen, sofern man eben keine 16-Bit-Anwendungen mehr verwendet.

Siehe dazu auch:

    * Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack

Quelle : www.heise.de

[SiLæncer]

Im offiziellen Blog des Microsoft Security Response Center schreibt Jerry Bryant, dass man derzeit keine Informationen über die Ausnutzung der Sicherheitslücke vorliegen hat. Zudem stuft man sie als weniger gefährlich ein, da der Angreifer bereits gültige Zugangsdaten für einen Rechner benötigt, um sich Administratorrechte zu verschaffen.

Dennoch arbeitet man gemeinsam mit Partnern an einem Sicherheitsupdate. Es wird nicht ausgeschlossen, dass dieser Patch außer der Reihe veröffentlicht wird, also nicht an einem Patch-Day. Wann mit dem Software-Flicken zu rechnen ist, wurde nicht mitgeteilt.

Die Sicherheitslücke befindet sich in der 1993 eingeführten Virtual DOS Machine (VDM), mit der 16Bit-Anwendungen ausgeführt werden können. Die Lücke wurde vom Google-Entwickler Tavis Ormandy entdeckt. Der von ihm veröffentlichte Exploit öffnet eine Eingabeaufforderung, in der man Befehle mit Systemrechten ausführen kann, obwohl man als Nutzer mit eingeschränkten Rechten angemeldet ist.

Der Exploit funktioniert unter Windows XP, Server 2003, Vista, Server 2008 und Windows 7, allerdings nur in der 32Bit-Edition. Bereits im letzten Sommer hatte Ormandy Microsoft über das Problem informiert, bislang passierte allerdings nichts. Da man das Problem auf einfache Art und Weise beseitigen kann, veröffentlichte er gestern den Exploit. Dies hat Microsoft dazu bewegt, nun doch aktiv auf die Bedrohung zu reagieren.

Quelle : http://winfuture.de